检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
域,添加规则,“防护动作”配置为“阻断”。具体的操作请参见配置精准访问防护规则。 IP黑白名单设置(拦截模式):封禁与业务不相关的IP地址和地址段。 操作导航:在“防护策略”页面,单击策略名称,进入“防护配置”页面,选择“黑白名单设置”区域,添加规则,“防护动作”配置为“拦截”。具体的操作请参见配置IP黑白名单规则。
网站部署了反向代理服务器,如何配置WAF? 如果网站部署了反向代理服务器,网站接入WAF后不会影响反向代理服务器。以云模式的CNAME接入将网站接入WAF后,WAF作为一个反向代理部署在客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。 域名添加到WAF后,域名是否可以修改?
7/iOS 7.1 √ √ × √ √ √ √ √ Safari 7/OS X 10.9 √ √ × √ √ √ √ √ Safari 8/iOS 8.4 √ √ × √ √ √ √ √ Safari 8/OS X 10.10 √ √ × √ √ √ √ √ Internet Explorer
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 XSS攻击通常指的是通过利用网页开发时留下的漏洞
Proxy)方式转发。反向代理服务器接受客户端访问请求后,直接将访问请求转发给Web服务器,并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房,代理Web服务器接收访问请求,并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击,缓存以减少内网服务器压力,还可以实现访问安全控制和负载均衡。
图3 Web应用防火墙的回源IP网段 打开源站服务器上的安全软件,将复制的IP段添加到白名单。 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
的接入地址,WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时,默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。
泛域名 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
为了实现业务双活,避免业务单点故障,建议在同一VPC下购买两个WAF实例。 源站地址:网站服务器的私有IP地址。 登录ECS或ELB控制台,在实例列表中查看对应服务器的私有IP地址。 说明: 源站地址不能与防护对象一致。 支持以下两种IP格式: IPv4,例如:XXX.XXX.1
如果提示“重定向次数过多”,一般是由于您在服务器后端配置了HTTP强制跳转HTTPS,在WAF上只配置了一条HTTPS(对外协议)到HTTP(源站协议)的转发,强制WAF将用户的请求进行跳转,所以造成死循环。 可在WAF中修改服务器信息,配置两条HTTP(对外协议)到HTTP(
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
000 ::/0 选择地址组 当“IP/IP段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组。 groupwaf 防护动作 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。
依赖浏览器压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。
xx代表源站服务器的源站IP地址,yy代表源站服务器的源站端口,xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 执行curl命令的主机需要满足以下条件: 网络通信正常。 已安装curl命令。Windows操作系统的主机需要手动安装curl,其他操作系统自带curl。
为1中创建的负载均衡添加监听器,详细操作请参见添加HTTP监听器或添加HTTPS监听器。 创建后端服务器组。 “所属负载均衡器”:选择“关联已有”,并在下拉框中选择1中创建的负载均衡器。 后端服务器配置为8中需要添加到WAF中的网站对应的服务器地址。 单击页面左上方的,选择“安全与合规 > Web应用防火墙 WAF”。
购买云模式WAF的时间不超过5天,超过5天后将不支持全额退款。 退订云模式WAF前,请您先到DNS服务商处将域名重新解析,指向源站服务器IP地址,否则该域名的流量将无法切回服务器,影响业务的正常访问。 退订云模式WAF前,已放通了源站业务的端口。 注意事项 退订WAF重新购买WAF,如果重购的
com 防护端口:8080 对外协议:系统会根据选择的防护端口,自动匹配对外协议。仅HTTP协议支持防护8080端口,因此,添加的两条服务器地址中的“对外协议”都配置为HTTP,具体配置如图2所示。 图2 客户端请求转发到不同的源站服务器 图2中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
demo.com”的云模式防护域名,该域名的客户端请求访问防护域名源站服务器的协议是“HTTPS”,WAF转发客户端请求到防护域名源站服务器的协议是“HTTP”,源站地址是“ipv4”,源站服务器的IP地址是“x.x.x.x”,WAF转发客户端请求到源站服务的业务端口是"744
www.example.com 防护端口 需要防护的域名对应的业务端口。 标准端口 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议:客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议:Web应用防
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
